Guest

VLAN privado y configuración de Cisco UCS con VMware DV o el nexo 1000v de Cisco

Opciones de descarga

  • PDF     (435.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (541.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:11 de marzo de 2017
ID del documento:201045
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

 Este documento describe el soporte del VLAN privado (PVLAN) en el Cisco Unified Computing System (UCS) en la versión 2.2.(2C) y posterior

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • UCS
  • Nexo de Cisco 1000 V (N1K) o Vmware DV
  • VMware
  • Transferencia de la capa 2 (L2)

Componentes Utilizados

 La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Teoría

Un VLAN privado es un VLA N configurado para el aislamiento L2 de otros puertos dentro del mismo VLAN privado. Los puertos que pertenecen a un PVLAN se asocian a un conjunto común de VLA N del soporte, que se utilizan para crear la estructura PVLAN.

Hay tres tipos de puertos PVLAN:

  • Un puerto promiscuo comunica con el resto de los puertos PVLAN y es el puerto usado para comunicar con los dispositivos fuera del PVLAN.
  • Un puerto aislado tiene separación completa L2 (broadcasts incluyendo) de otros puertos dentro del mismo PVLAN a excepción del puerto promiscuo.
  • Un puerto de la comunidad puede comunicar con otros puertos en el mismo PVLAN así como el puerto promiscuo. Los puertos de la comunidad se aíslan en el L2 de los puertos en otras comunidades o puertos aislados PVLAN. Los broadcasts se propagan solamente a otros puertos en la comunidad y el puerto promiscuo.

Refiera al RFC 5517, los VLAN privados de los Cisco Systems: Seguridad scalable en un entorno multicliente para entender la teoría, la operación, y los conceptos de PVLAN.

Configurar

 con el nexo 1000v o Vmware DV

                                         

Nota: Este ejemplo utiliza 1750 vlan como el primario, 1785 según lo aislado y 1786 como comunidad vlan

   Configuración UCS con VMware DV

  1. Para crear el VLAN principal, haga clic primario como el tipo de distribución, y ingrese un VLAN ID de 1750:

 2. Cree por consiguiente aislado y de la comunidad vlans como abajo. Ningunos de éstos tienen que ser un VLAN nativo

3. vnic en el servicio-perfil está llevando el vlans así como los pvlans regulares

4. 

   El canal del puerto del uplink en el UCS está llevando el vlans así como los pvlans regulares

interfaz port-channel1
descripción U: Uplink
switchport mode trunk
fijación de la frontera
switchport trunk no prohibido 1,121,221,321,1750,1785-1786 vlan
velocidad 10000

F240-01-09-UCS4-A(nxos)#

Demostración soldado-VLAN vlan F240-01-09-UCS4-A(nxos)#
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750 1785 aislados
comunidad 1750 1786

Configuración en VMware DV

Configuración del Switch de la conexión en sentido ascendente N5k

característica soldado-VLAN

1750 vlan
soldado-VLAN primario
asociación 1785-1786 de soldado-VLAN

1785 vlan
soldado-VLAN aisló


1786 vlan
comunidad de soldado-VLAN

interfaz Vlan1750

IP Address 10.10.175.252/24
private-vlan mapping 1785-1786

ningún apague


interconecte port-channel114

Descripción al UCS
switchport mode trunk
switchport trunk no prohibido 1,121,154,169,221,269,321,369,1750,1785-1786 vlan
borde del tipo del puerto de árbol de expansión
permiso del bpduguard del atravesar-árbol
permiso del bpdufilter del atravesar-árbol
el <=== del vpc 114 si hay un par 5k en configuración del vPC entonces agrega solamente esta línea a ambos N5k

Configuración del 4900 Switch por aguas arriba

En el 4900 Switch, tome estas medidas, y configure el puerto promiscuo. Los extremos PVLAN en el puerto promiscuo.

  1. Gire la función PVLAN si procede.
  2. Cree y asocie los VLA N según lo hecho en el nexo 5K.
  3. Cree el puerto promiscuo en el puerto de egreso del 4900 Switch. Desde aquí, los paquetes del VLA N 1785 y 1786 se ven en el VLA N 1750 en este caso.
Switch(config-if)#switchport mode trunk
switchport private-vlan mapping 1785-1786
switchport mode private-vlan promiscuous

En el router ascendente, cree una subinterfaz para el VLA N 1750 solamente. A este nivel, los requisitos dependen de la configuración de red que usted está utilizando:

  1. interfaz GigabitEthernet0/1.1
  2. dot1q 1750 de la encapsulación
  3. IP address10.10.175.254/24
Resolución de problemas

Este procedimiento describe cómo probar la configuración para los dvs del vmware usando pvlan.

1. Funcione con los ping a otros sistemas configurados en el grupo de puertos así como el router o el otro dispositivo en el puerto promiscuo. Los ping al dispositivo más allá del puerto promiscuo deben trabajar, mientras que ésos a los otros dispositivos en el VLAN aislado deben fallar.

Marque las tablas de la dirección MAC para ver donde está estando docto su MAC. En todo el Switches, el MAC debe estar en el VLAN aislado excepto en el Switch con el puerto promiscuo. En el Switch promiscuo el MAC debe estar en el VLAN principal.

2. UCS 

3. compruebe la conexión en sentido ascendente n5k para el mismo mac, salida similar a la salida antedicha debe estar presente en n5k

Configuración usando el nexo 1000v con el puerto promiscuo en la conexión en sentido ascendente N5k

Configuración UCS 

   La configuración UCS (config vnic inclusing del servicio-perfil) permanecerá lo mismo según el ejemplo antedicho con el vmware DV

Configuración N1k

característica soldado-VLAN

1750 vlan
soldado-VLAN primario
asociación 1785-1786 de soldado-VLAN

1785 vlan
soldado-VLAN aisló


1786 vlan
comunidad de soldado-VLAN

el mismo puerto-perfil del uplink se está utilizando para el vlans y los pvlans regulares. En este ejemplo 121 y 221 vlan es el vlans regular pero usted puede cambiarlos por consiguiente

PVLAN-uplink-ninguno-baile de fin de curso de los Ethernetes del tipo del puerto-perfil
switchport mode trunk
MTU 9000
switchport trunk no prohibido 121,221,1750,1785-1786 vlan
modo automático del canal-grupo en la mac-fijación

sistema 121 vlan
ningún apague
estado habilitado
grupo de puertos del vmware

vethernet pvlan_1785 del tipo del puerto-perfil
host de soldado-VLAN del modo del switchport
host-asociación 1750 1785 de soldado-VLAN del switchport
VLAN de acceso al puerto del switch 1785
ningún apague
estado habilitado
grupo de puertos del vmware



vethernet pvlan_1786 del tipo del puerto-perfil
host de soldado-VLAN del modo del switchport
VLAN de acceso al puerto del switch 1786
host-asociación 1750 1786 de soldado-VLAN del switchport
ningún apague
estado habilitado
grupo de puertos del vmware

Resolución de problemas

Este procedimiento describe cómo probar la configuración.

1. Funcione con los ping a otros sistemas configurados en el grupo de puertos así como el router o el otro dispositivo en el puerto promiscuo. Los ping al dispositivo más allá del puerto promiscuo deben trabajar, mientras que ésos a los otros dispositivos en el VLAN aislado deben fallar, tal y como se muestra en de la sección anterior

2.  En el N1K, los VM se enumeran en el VLAN principal; esto ocurre porque usted está en los puertos de host PVLAN que se asocian al PVLAN.

Marque las tablas de la dirección MAC para ver donde está estando docto su MAC. En todo el Switches, el MAC debe estar en el VLAN aislado excepto en el Switch con el puerto promiscuo. En el Switch promiscuo el MAC debe estar en el VLAN principal.

3. En el sistema UCS, usted debe aprender todos los MAC en su vlans privado respectivo

4. compruebe la conexión en sentido ascendente n5k para el mismo mac, salida similar a la salida antedicha debe estar presente en n5k

  

Configuración usando el nexo 1000v con el puerto promiscuo en el Puerto-perfil del uplink N1K

Puesto que el PVLAN termina en el puerto promiscuo, en esta configuración, usted contiene el tráfico PVLAN al N1K con solamente la conexión en sentido ascendente usada VLAN principal. Tan el UCS y los dispositivos ascendentes no son conscientes de ninguna pvlans. 

Configuración UCS

Este procedimiento describe cómo agregar el VLAN principal al vNIC. No hay necesidad de la configuración de PVLAN porque usted necesita solamente el VLAN principal. 

Nota: Este ejemplo utiliza 1750 como el primario, 1785 según lo aislado y 1786 como comunidad vlan

Configuración de los dispositivos ascendentes

Estos procedimientos describen cómo configurar los dispositivos ascendentes. En este caso, el Switches por aguas arriba necesita solamente los puertos troncales, y él necesita solamente el VLA N 1750 del trunk porque es el único VLA N que el Switches de la conexión en sentido ascendente considera.

En el nexo 5K, ingrese estos comandos, y la configuración del uplink del control:

  1. Agregue el VLA N como primario:

    Nexus5000-5(config-vlan)# vlan 1750
  2. Aseegurese que todo el uplinks es para trunk configurado los VLA N:

Configuración de N1K

Este procedimiento describe cómo configurar el N1K.

característica soldado-VLAN

1750 vlan
soldado-VLAN primario
asociación 1785-1786 de soldado-VLAN

1785 vlan
soldado-VLAN aisló


1786 vlan
comunidad de soldado-VLAN

el mismo puerto-perfil del uplink se está utilizando para el vlans y los pvlans regulares. En este ejemplo 121 y 221 vlan es el vlans regular pero usted puede cambiarlos por consiguiente

PVLAN-uplink de los Ethernetes del tipo del puerto-perfil
trunk de soldado-VLAN del modo del switchport promiscuo

switchport trunk no prohibido 121,221,1750 vlan
el trunk de soldado-VLAN del switchport permitió la necesidad vlan de 121,221,1750 <== solamente de permitir el VLAN principal

el <=== 1785-1786 PVLAN del trunk 1750 del private-vlan mapping del switchport se debe asociar en esta etapa
MTU 9000
modo automático del canal-grupo en la mac-fijación
ningún apague
sistema 121 vlan
estado habilitado
grupo de puertos del vmware

vethernet pvlan_1785 del tipo del puerto-perfil
host de soldado-VLAN del modo del switchport
host-asociación 1750 1785 de soldado-VLAN del switchport
VLAN de acceso al puerto del switch 1785
ningún apague
estado habilitado
grupo de puertos del vmware



vethernet pvlan_1786 del tipo del puerto-perfil
host de soldado-VLAN del modo del switchport
VLAN de acceso al puerto del switch 1786
host-asociación 1750 1786 de soldado-VLAN del switchport
ningún apague
estado habilitado
grupo de puertos del vmware

Resolución de problemas

pvlan debe terminar en el puerto promiscuo en el puerto-perfil del uplink para n1k y el UCS y todos los dispositivos ascendentes deben considerar posteriormente esos VM en vlan primario. Abajo está la foto de la conexión en sentido ascendente N5k y UCS

Pocas cosas a recordar

  • el comando trunk del private-vlan mapping no decide ni reemplaza la configuración del tronco de un puerto.

  • el puerto se configura ya en un modo tronco regular antes de agregar las configuraciones del tronco PVLAN.

  • los VLAN principales se deben agregar a la lista de VLA N permitido para el puerto troncal promiscuo.

  •  los VLAN secundarios no se configuran en la lista de VLAN permitida.

  • el puerto troncal puede llevar los VLA N normales además de los VLAN principales.

TAC Authored

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Déjenos ayudarlo

Debates relacionados con la comunidad de soporte

Este documento se aplica a estos productos